Auditoria Informatica-municipalidad Moquegua (1)

7/26/2019 Auditoria Informatica-municipalidad Moquegua (1)

1/73

AUDITORIA DE SISTEMAS DE LA UAD- MAJESAREA FISICA

Alcance de la Auditoria

o Organizacin de Seguridad de la aprte fisica del area de sistemas de la UAD Majes.

o Planes y procedimientos.

o Sistemas tcnicos de Seguridad y Proteccin.

Objetivos

o Reisin de las pol!ticas y "ormas so#re seguridad $!sica de la UAD Majes.

o %erificar la seguridad de personal& datos& 'ard(are& soft(are e instalaciones

o Seguridad& utilidad& confianza& priacidad y disponi#ilidad en el am#iente inform)tico

RE!U"TA S "O "#A*.+Se 'an adoptado medidas de seguridad en el departamento de sistemas de

informacin,$

-.+/iste una persona responsa#le de la seguridad, $

0.+Se 'a diidido la responsa#ilidad para tener un mejor control de la seguridad, $

1.+/iste personal de igilancia en la institucin, $

2. +/iste igilancia en el departamento de cmputo las -1 'oras, $

3. +l centro de cmputo tiene salida al e/terior, $4. +Son controladas las isitas y demostraciones en el centro de cmputo, $

5. +Se registra el acceso al departamento de cmputo de personas ajenas a ladireccin de inform)tica,

$

6. +Se 'a adiestrado el personal en el manejo de los e/tintores, $

*7. +Se reisa de acuerdo con el proeedor el funcionamiento de los e/tintores. $**. +Sa#en 8ue 'acer los operadores del departamento de cmputo& en caso de

8ue ocurra una emergencia ocasionado por fuego,$

*-. +/iste salida de emergencia, $*0. +Se 'a pro'i#ido a los operadores el consumo de alimentos y #e#idas en elinterior del departamento de cmputo para eitar da9os al e8uipo,

$

*1. +Se limpia con frecuencia el polo acumulado,$

*2. +/iste departamento de auditoria interna en la institucin, $


2/73

AREA FISICA

ara %allar el SI

*2 *77:3 ;

$ & '()

ara %allar el "O

*2 *77:6 ;

$ & *()

LISTADO DE +ERIFICACI," DEL AREA FISICA


3/73

An4lisis de la deli5itaci6n la 5anera en 7ue se cu58len9

(()E.celente

/()0ueno

*()Re1ular

'()M2ni5o

3()"o cu58le

=a delimitacin espacial&

por las dimensionesf!sicas.=a delimitacin tecnolgica&

por los re8uerimientos yconocimientos inform)ticos.

Evaluaci6n del dise:o se1;n el a5biente del centro de co58uto

(()E.celen

/()0ueno

*()Re1ular

'()M2ni5o

3()"o cu58le

An)lisis del am#iente

aluar elfuncionamiento de lose ui osl local para el tra#ajo es

=os e8uipos cuentan conentilacin

=a iluminacin

An4lisis de la se1uridad


4/73

I"FORME DE AUDITORIA

= Identimplantar salidas de emergencia.


5/73

la#orar un calendario de mantenimiento de rutina peridico.

?apacitar al personal.

= Fec%a Del In"BO C?U?>O" >"$ORM

$?A


6/73

AREA OFIMATICA

Alcance de la Auditoria=-

o Planes y procedimientos

o Pol!ticas de Mantenimiento

o ?apacitacin del Personal

Objetivos de la Auditoria=-

Realizar un informe de Auditoria con el o#jeto de erificar la e/istencia de controles preentios&

detectios y correctios& as! como el cumplimiento de los mismos por los usuarios.

RE!U"T SI "O "#A

*. +/iste un informe tcnico en el 8ue se justifi8ue laad8uisicin del e8uipo& soft(are y sericios de

computacin& incluyendo un estudio costoE

#eneficio,

-. +Se 'a asegurado un respaldo de mantenimiento y

asistencia tcnica,

0. +l acceso al centro de cmputo cuenta con las

seguridades necesarias,

1. +Bodas las actiidades del ?entro de ?omputo asi

como el uso de sistemas est)n normadas mediante

manuales& instructios& normas& reglamentos& etc.,

2. +=as instalaciones cuentan con sistema de alarma por

presencia de fuego& 'umo& as! como e/tintores de

incendio& cone/iones elctricas seguras& entre

3. +Se 'an instalado e8uipos 8ue protejan la

informacin y los dispositios en caso de ariacin

de oltaje comoF reguladores de oltaje& supresores

pico& UPS& generadores de energ!a,

4. +Se mantiene programas y procedimientos de

deteccin e inmunizacin de irus en copias no

autorizadas o datos procesados en otros e8uipos,


7/73

AREA DE OFIMTICA=-

ara %allar el SI

4 *77:2 ;

$ & B='>)

ara %allar el "O

4 *77:- ;

$ & 3/=?B)


8/73


= Identinformacin& de#en estar sustentados

en Pol!ticas& Procedimientos& Reglamentos y "ormatiidad en


9/73

o l Departamento de centro de cmputo presenta deficiencias so#re el de#ido cumplimiento de

"ormas de seguridad.

o =a escasez de personal de#idamente capacitado.

/= Reco5endacioneso Un de manual de funciones para cada puesto de tra#ajo dentro del )rea.

o la#orar un calendario de mantenimiento de rutina peridico .

o ?apacitar al personal.

= Fec%a Del InO" >"$ORM

$?A

(= IdentiDOS @ "OMRS ?ARBOR SUPR>OR


10/73

AREA DE ERSO"AL

Alcance de la Auditoria

o aluacin del personal y co'erencia de cargos de la propia institucin.

o "ormas y Procedimientos del )rea de inform)tica

Objetivos

Realizar un informe de Auditoria con el o#jeto de erificar la adecuacin de las funciones 8ue siren de

apoyo a las tecnolog!as de la informacin.

RE!U"TAS SI " "#

*. +e/iste personal capacitado para utilizer los sistemas de la UniersidadAlas Peruanas UAD Majes,

-. +tienen manuales todas los sistemas utilizados,

0. +/iste un responsi#le en caso de falla,1. +/iste un registro de anomal!as en la informacin de#ido a mala

codificacin,

2. +e/iste par)metros de control,

3. +Reci#en capacitaciones periodicas para el uso de sistemas de laUADE Majes,

Auditoria E.8lotaci6n9

ara %allar el SI

3 *77:

- ;

$ & >>=>)

ara %allar el "O

2 *77:0 ;

$ & **=B)


11/73


= Identinform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.

B= Conclusiones9

G ?omo resultado de la Auditoria de la Seguridad realizada al Municipio& por el per!odo

comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemos

manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el

programa de auditoria.

G l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de

sus funciones y por la falta de ellos.

/= Reco5endaciones

De#er)n realizarse muestreos selectios de la Documentacin de las Aplicaciones

e/plotadas

Asignar un responsa#le del ?entro de ?mputos en cada turno de tra#ajo.

?rear y 'acer uso de manuales de operacin.


12/73

Realizar funciones de operacin& programacin y dise9o de sistemas de#en estar

claramente delimitadas.

= Fec%a Del In


13/73

13AUDITORIA DE SISTEMAS

AUDITORIA DEL MA"TE"IMIE"TO

Alcance de la Auditoria=-

Planes y procedimientos de Mantenimiento

"ormatia

= Objetivos de la Auditoria=-

Realizar un informe de Auditoria con el o#jeto de ealuar el mantenimiento correctio y

preentio del soft(are.

-. ReSOH>? *--74

> *741

> *-*6

>SOH>? *1431

RE!U"T SI "O "#A

*. /iste un contrato de mantenimiento.

-. +/iste un programa de mantenimiento preentio para cada

dispositio del sistema de cmputo,

0. +Se llea a ca#o tal programa,

1. +/isten tiempos de respuesta y de

compostura estipulados en los contratos,


14/73

2. Si los tiempos de reparacin son superiores a los estipulados en

el contrato& +Iu acciones correctias se toman para ajustarlos

a lo conenido,

3. +/iste plan de mantenimiento preentio. ,

4. +ste plan es proporcionado por el proeedor,

5. +Se notifican las fallas,

6. +Se les da seguimiento,

*7. +Biene un plan log!stico para dar soporte al producto soft(are,

**. +=os re8uerimientos de manteni#ilidad se incluyen en la

Actiidad de >niciacin durante el Proceso de Ad8uisicin J>SO

*--74K y se ealLa durante el Proceso de Desarrollo,

*-. +=as ariaciones en el dise9o son superisadas durante el

desarrollo para esta#lecer su impacto so#re la manteni#ilidad,

*0. +Se realizan arios tipos de medidas para poder estimar la

calidad del soft(are,

*1. +=a manteni#ilidad se tiene en cuenta antes de empezar a

desarrollar,

*2. +l desarrollador prepara un Plan de Manteni#ilidad 8ue

esta#lece pr)cticas espec!ficas de manteni#ilidad& as! como

recursos y secuencias releantes de actiidades,

*3. +Durante el an)lisis de re8uerimientos& los siguientes aspectos

8ue afectan a la manteni#ilidad& son tomados en cuenta,

>dentificacin y definicin de funciones& especialmente

las opcionales.

/actitud y organizacin lgica de los datos.

=os >nterfaces Jde m)8uina y de usuarioK.

Re8uerimientos de rendimiento.


15/73

Re8uerimientos impuestos por elentorno

JpresupuestoK.


16/73

si fuese necesario,

--. l Plan de Mantenimiento es preparado por el mantenedor

durante el desarrollo del soft(are.

-0. +=os elementos soft(are reflejan la documentacin de dise9o,

-1. +=os productos soft(are fueron suficientemente pro#ados y

sus especificaciones cumplidas,

-2. +=os informes de prue#as son correctos y las discrepancias

entre resultados actuales y esperados 'an sido resueltas,

-3. +=a documentacin de usuario cumple los est)ndares

especificados,

-4. +=os costes

esta#lecidos

y calendarios

se

ajustan

a los

planes

Auditoria Manteni5iento9

ara %allar el SI

-2 *77:

*5 ;

$ & B3

ara %allar el "O

-2 *77:4 ;

$ & 3/


17/73


= Identi


18/73

%ariaciones en la calidad del producto entregado al usuario final.

Pro#lemas entre el personal.

Uso de metodolog!as para nueos desarrollos& pero ausencia de ellas para el

mantenimiento. Bendencia a la desestructuracin

Dificultad progresia de modificacin

$alta de presupuesto

$alta de personal

$alta de apoyo de la Direccin

*= Alcance de la auditoria

"uestra auditoria& comprende el presente periodo -771 y se 'a realizado especialmente al

)rea de >nform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.

B= Conclusiones9

?omo resultado de la Auditoria del Mantenimiento realizada al Municipio& por el

per!odo comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemosmanifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el


l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de


/= Reco5endaciones

Modificacin de un producto soft(are& o de ciertos componentes& usando para elan)lisis del sistema e/istente tcnicas de >ngenier!a >nersa y& para la etapa

de reconstruccin& 'erramientas de >ngenier!a Directa& de tal manera 8ue se oriente

este cam#io 'acia mayores nieles de facilidad en cuanto a mantenimiento&

reutilizacin& comprensin o eolucin.


19/73

?ategorizar los tipos de mantenimiento del soft(are y para cada tipo planificar lasactiidades y tareas a realizar.

la#orar un procedimiento organizado para realizar la migracin de un

producto soft(are desde un entorno operatio antiguo a otro nueo.

sta#lecer un acuerdo o contrato de mantenimiento entre el mantenedor y el clientey las o#ligaciones de cada uno estos.

la#orar un plan de mantenimiento 8ue incluya el alcance del mantenimiento&

8uin lo realizar)& una estimacin de los costes y un an)lisis de los recursos necesarios.

= Fec%a Del In


20/73

AUDITORIA DE 0ASE DE DATOS

= Alcance de la auditoria9

sta auditoria comprende solamente al )rea de cetro de computo de la municipalidad de

mariscal nieto& con respecto al cumplimiento del proceso QDe


21/73

4. =a interfaz 8ue e/iste entre el S


22/73

-1. De acuerdo con los tiempos de utilizacin de cada dispositio

del sistema de cmputo& +e/iste e8uipo capaces 8ue soportar eltra#ajo,

-2. +l S


23/73


= Identi


24/73

=a gerencia de ase de datos no tiene un plan 8ue permite modificar en forma

oportuna el plan a largo plazo de tecnolog!a& teniendo en cuenta los posi#les

cam#ios tecnolgicos y el incremento de la #ase de datos..

"o e/iste un calendario de mantenimiento de rutina peridico del soft(are definidopor la ase de datos.



Departamento de centro de cmputo de acuerdo a las normas y dem)s disposiciones

aplica#le al efecto.

B= Conclusiones9

?omo resultado de la Auditoria podemos manifestar 8ue 'emos cumplido con ealuar

cada uno de los o#jetios contenidos en el programa de auditoria.

l Departamento de centro de cmputo presenta deficiencias so#re todo en el de#ido

cumplimiento de "ormas de seguridad de datos y administracin de la ase de Datos.

/= Reco5endaciones

la#orar toda la documentacin lgica correspondiente a los sistemas de administracin

de la D. aluar e implementar un soft(are 8ue permita mantener el resguardo de

acceso de los arc'ios de programas y aLn de los programadores.

>mplementar la relaciones con las diferentes )reas en cuanto al compartimiento de

arc'ios permitidos por las normas

la#orar un calendario de mantenimiento de rutina peridico . ?apacitar al personal al manejo de la D.

Dar a conocer la importancia del S


25/73

= Fec%a Del In ?UB>PA T>=@ AUD>BOR SUPR>OR


26/73

AUDITORIA DE CALIDAD

Objetivos9

%erificar los procesos aplica#les del programa de la calidad 'an sido desarrollados y

documentados.

aluar la capacidad de realizar un tra#ajo especifico.

SI "O

"#A

+Se reflejan el soft(are codificado tal como en el dise9o en la

documentacin,$

+$ueron pro#ados con /ito los productos de soft(are usados en el

centro de computo, $

+Se cumplen las especificaciones de la documentacin del usuario delsoft(are,

$

+=os procesos de gestin administratia aplicados en el )rea de

inform)tica de la institucin son lo suficientemente ptimos,$

+l funcionamiento del soft(are dentro del )rea de tra#ajo

$

+=os documentos de gestin administratia secumplen satisfactoriamente en el )rea de computo,

$

+=os productos de soft(are 8ue utilizan en el )rea de inform)tica estade acuerdo con los est)ndares esta#lecidos,$

+=os dispositios de tra#ajo en el )rea de inform)tica se les $


27/73

realizan una reisin tcnica correcta,

+=os costos fijados en la reisin tcnica se encuentran dentro de los

l!mites fijados,$

Auditoria Calidad9

ara %allar el SI

6 *77:

2 ;

$ & ??=?

ara %allar el "O

6 *77:1 ;; ''='


= Identi


28/73

?= Alcance de la auditoria


Departamento de centro de cmputo de acuerdo a las normas y dem)s disposicionesaplica#le al efecto.

*= Conclusiones9

l Departamento de centro de cmputo presenta deficiencias so#re todo en el de#ido

cumplimiento de "ormas de seguridad de datos y administracin de la ase de Datos

con respecto a calidad.

B= Fec%a Del In ?UB>PA T>=@ AUD>BOR SUPR>OR


29/73

AUDITORIA DE LA SE!URIDAD

= Alcance de la Auditoria=-

Organizacin y calificacin del personal

Planes y procedimientos

Sistemas tcnicos de deteccin y comunicacin

An)lisis de puestos

Mantenimiento

"ormatia

3= Objetivos de la Auditoria=-

Realizar un informe de Auditoria con el o#jeto de erificar la adecuacin de las medidas

aplicadas a las amenazas definidas& as! como el cumplimiento de los re8uisitos e/igidos.

0. Re


30/73

AUDITORIA LO!ICA

RE!U"T S " "#

*. +/isten medidas& controles& procedimientos& normasy est)ndares de seguridad,

-. +/iste un documento donde este especificado la relacin de las

funciones y o#ligaciones del personal,

0. +/isten procedimientos de notificacin y gestin

de incidencias,

1. +/isten procedimientos de realizacin de copias de seguridad y de

recuperacin de datos,

2. +/iste una relacin del personal autorizado a conceder& alterar o

anular el acceso so#re datos y recursos,

3. +/iste una relacin de controles peridicos a realizar para erificar el

cumplimiento del documento,

4. +/isten medidas a adoptar cuando un soporte aya a ser desec'ado o

reutilizado,

5. +/iste una relacin del personal autorizado a acceder a los locales

donde se encuentren u#icados los sistemas 8ue tratan datos

personales,

6. +/iste una relacin de personal autorizado a acceder a los soportes de

datos,

*7. +/iste un per!odo m)/imo de ida de las contrase9as,

**. +/iste una relacin de usuarios autorizados a acceder a los sistemas

y 8ue incluye los tipos de acceso permitidos,

*-. +=os derec'os de acceso concedidos a los usuarios son los necesarios

y suficientes para el ejercicio de las funciones 8ue tienen

encomendadas& las cuales a su ez se encuentran o de#en estarE

documentadas en el Documento de Seguridad,

*0. +ay dadas de alta en el sistema cuentas de usuario genricas& es

decir& utilizadas por m)s de una persona& no permitiendo por


31/73

tanto la identificacin de la persona f!sica 8ue las 'a utilizado,

*1. +n la pr)ctica las personas 8ue tienen atri#uciones y priilegios

dentro del sistema para conceder derec'os de acceso son las

autorizadas e incluidas en el Documento de Seguridad,

*2. +l sistema de autenticacin de usuarios guarda las contrase9as

encriptadas,

*3. +n el sistema est)n 'a#ilitadas para todas las cuentas de usuario las

opciones 8ue permiten esta#lecerF

Un nLmero m)/imo de intentos de cone/in.

Un per!odo m)/imo de igencia para la contrase9a& coincidente

con el esta#lecido en el Documento de Seguridad.

*4. +/isten

de

asignacin

y distri#ucin

de

AUDITORIA FISICA

PR


32/73

seguridad tienen acceso a los soportes 8ue contienen las copias de

seguridad,

4. +=as copias de seguridad de fic'eros de niel alto incluyen los fic'eros

cifrados& si estas copias se transportan fuera de las instalaciones,

5. +=as copias de seguridad de los fic'eros de niel alto se almacenan en

lugar diferente al de los e8uipos 8ue las procesan,

g

6. +/iste un inentario de los soportes e/istentes,

*7. +Dic'o inentario incluye las copias de seguridad,

**. +=as copias de seguridad& o cual8uier otro soporte& se almacenan

fuera de la instalacin,

*-. +/isten procedimientos de actualizacin de dic'o inentario,

*0. +/isten procedimientos de eti8uetado e identificacin del contenido

de los soportes,

*1. +/isten procedimientos en relacin con la salida de soportes fuera de

su almacenamiento 'a#itual,

*2. +Se ealLan los est)ndares de distri#ucin y en!o de estos soportes,

*3. +Se O#tiene una relacin de los fic'eros 8ue se en!an fuera de la

empresa& en la 8ue se especifi8ue el tipo de soporte& la forma de

en!o& el estamento 8ue realiza el en!o y el destinatario,

*4. +Se ?omprue#a 8ue todos los soportes incluidos en esa relacin se

encuentran tam#in en el inentario de soportes mencionado

anteriormente,

*5. +Se O#tiene una copia del Registro de ntrada y Salida de Soportes y

se comprue#a 8ue en l se incluyenF

=os soportes incluidos en la relacin del punto anterior Jy

iceersaK

=os desplazamientos de soportes al almacenamiento


33/73

e/terior Jsi e/istieraK

*6. +Se %erifica 8ue el Registro de ntrada y Salida refleja la

informacin re8uerida por el ReglamentoF

aK $ec'a y 'ora

#K misorHReceptor

cK "V de soportes

dK Bipo de informacin contenida en el soporte.

eK $orma de en!o

fK Persona f!sica responsa#le de la recepcinHentrega

-7. +Se Analiza los procedimientos de actualizacin del Registro de

ntrada y Salida en relacin con el moimiento de soportes,

-*. +/isten controles para detectar la e/istencia de soportes

reci#idosHeniados 8ue no se inscri#en en el Registro de

ntradaHSalida,

--. +Se ?omprue#a& en el caso de 8ue el >nentario de Soportes yHo el

Registro de ntradaHSalida estn informatizados& 8ue se realizan

copias de seguridad de ellos& al menos& una ez a la semana,

-0. +Se realiza una relacin de soportes eniados fuera de la empresa con

la relacin de fic'eros de niel alto,

-1. +Se %erifica 8ue todos los soportes 8ue contiene fic'eros con datos de

niel Alto an cifrados,

-2. +Se ?ompro#ar la e/istencia& como parte del Documento de

Seguridad& de una relacin de usuarios con acceso autorizado a la

sala,

-3. +Se %erifica 8ue la inclusin del personal en la relacin anterior es

co'erente con las funciones 8ue tienen encomendadas,

-4. +Se ?omprue#a 8ue la relacin es lgica J+personal de limpieza,

+%igilantes de seguridad,K.

-5. +/isten pol!ticas de la instalacin en relacin con los accesos

ocasionales a la salaW

-6. +Se Determina 8ue personas tienen llaes de acceso& tarjetas& etc. de

acceso a la sala,g.


34/73

30. Se Comprueba que estn activados los parmetros de activacin del Registro

3#. Se !nali$an los procedimientos de descarga a cinta de este Registro de !ccesos %

3'. ()isten procedimientos de reali$acin de copias de seguridad del Registro de !cces

33. Se *erifca la asignacin de privilegios que permitan activar+desactivar el Regist

3,. Se Comprueba que el Registro de !ccesos se encuentra ba-o el control directo de

Auditoria Calidad9

ara %allar el SI

06 *77:

*2 ;

$ & >/='*

ara %allar el "O

06 *77:-1 ;; *=?>


35/73

AREAS CRTICAS DE LA AUDITORIA DE SE!URIDAD

Evaluaci6n de la se1uridad en el acceso al Siste5a

re1untas(()

E.celent

/()

0ue

*()

Re1ul

'()

M2ni

3()

"o

aluar los atri#utos de acceso al

sistema.

aluar los nieles de acceso al

sistema.

aluar la administracin

de contrase9as al sistema

aluar el monitoreo en el acceso al

sistema.

aluar las funciones del

administrador del acceso al sistema.

aluar las medidas preentias o

correctias en caso de siniestros n el

acceso.

Evaluaci6n de la se1uridad en el acceso al rea F2sica

re1untas (()

E.celent

/()

0ue

*()

Re1ul

'()

M2ni

3()

"o

aluar el acceso del personal al

centro de cmputo.

aluar el acceso de los usuarios y

terceros al centro de cmputo.

aluar el control de entradas y


36/73

salidas de #ienes inform)ticos del

centro de cmputo.

aluar la igilancia del centro de

cmputo.

aluar las medidas preentias o

correctias en caso de siniestro en el

centro de cmputo.

Analizar las pol!ticas de la

instalacin en relacin con los

accesos ocasionales a la sala.

Evaluaci6n de los 8lanes de contin1encias in


37/73

#ases de datos& soft(are e

informacin importante de la

organizacin.

aluar la configuracin&

instalaciones y seguridad del e8uipo

de cmputo& mo#iliario y dem)s

e8uipos.

aluar el rendimiento& aplicacin y

utilidad del e8uipo de cmputo&

mo#iliario y dem)s e8uipos.

aluar la seguridad en

el procesamiento de

aluar los procedimientos de

captura& procesamiento de datos y

emisin de resultados de los sistemas

computacionales.

Evaluaci6n de la 8rotecci6n contra la 8irater2a G robo de in


38/73

Evaluaci6n de la 8rotecci6n contra virus in


39/73


40/73

aluar las licencias permisos y usos

de los sistemas computacionales.

aluar el rendimiento y uso del

soft(are de los sistemas

computacionales.

%erificar 8ue la instalacin del

soft(are& pa8ueter!as y sistemas

desarrollados en la empresa sea la

adecuada para cu#rir las necesidades

de esta ultima.


41/73


= Identi


42/73



)rea de >nform)tica de acuerdo a las normas y dem)s disposiciones aplica#le al efecto.

B= Conclusiones9

X ?omo resultado de la Auditoria de la Seguridad realizada al Municipio& por el per!odo

comprendido entre el 7* de Setiem#re al -1 de Diciem#re del -771& podemos

manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el


X l )rea de >nform)tica presenta deficiencias so#re todo en el de#ido cumplimiento de


/= Reco5endaciones

X la#orar toda la documentacin tcnica correspondiente a los sistemas implementados y

esta#lecer normas y procedimientos para los desarrollos y su actualizacin.

X aluar e implementar un soft(are 8ue permita mantener el resguardo de acceso de los

arc'ios de programas y aLn de los programadores.

X >mplementar y conserar todas las documentaciones de prue#a de los sistemas& como

as! tam#in las modificaciones y apro#aciones de programas realizadas por los usuarios

X l coste de la seguridad de#e considerarse como un coste m)s entre todos los 8ue sonnecesarios para desempe9ar la actiidad 8ue es el o#jeto de la e/istencia de la entidad&

sea sta la o#tencin de un #eneficio o la prestacin de un sericio pL#lico.

X l coste de la seguridad& como el coste de la calidad& son los costes de funciones

imprescindi#les para desarrollar la actiidad adecuadamente. @ por QadecuadamenteQ

de#e entenderse no slo un niel de calidad y precio 8ue 'aga competitio el sericio o

producto suministrado& sino tam#in un grado de garant!a de 8ue dic'os productos o

sericios an a seguir llegando a los usuarios en cual8uier circunstancia.


43/73

= Fec%a Del In= */=

O?

Desarrollo B3=B 33=

Manteni5ient B3 3/

0ase de Datos B=* 3(=

Calidad ??=? ''=

Se1uridad >/='* *=

Redes '3=/? ?B=

A8licacion ?'=?' '?='?


44/73

CO"CLUSI,"

Al realizar el anterior tra#ajo se inestigo acerca de todos los elementos 8ue componen =a

Municipalidad Proincial de Mariscal "ieto& tanto materiales como 'umanos& con lo anterior& sepuede dar uno cuenta auditar una institucin no es nada f)cil& ya 8ue si falla un elemento del 8ue secompone& trae consigo un efecto domino& 8ue 'ace 8ue los dem)s elementos #ajen su rendimiento&

o en el peor de los casos sean causantes del fracaso de la institucin.

s mentira 8ue lo m)s importante para una empresa sea el e8uipo inform)tico con el 8ue se tra#aja.l factor 'umano es lo mas importante& ya 8ue si se cuenta con tecnolog!a de punta& pero con

personal no calificado o en desacuerdo con el desarrollo del ?entro de ?omputo optara por

renunciar& o #ien por seguir rezagando al mismo Asimismo la capacitacin es important!sima& ya

8ue si no 'ay capacitacin permanente& el personal tcnico de la empresa decide a#andonarla para#uscar nueos 'orizontes y mayor oportunidad& aun sacrificando el aspecto econmico.

l aspecto organizatio tam#in de#e estar perfectamente estructurado& y las l!neas de mando de#en

estar #ien definidas& eitando de esta manera la rotacin innecesaria de personal& la duplicidad defunciones& las l!neas alternas demando& etc. y 8ue conllean al des8uiciamiento de la estructura

organizacional.

a#lando de seguridad& es indispensa#le el aseguramiento del e8uipo y de las instalaciones& as!como de la informacin& el control de los accesos tam#in es punto fundamental para eitar las

fugas de informacin o manipulacin inde#ida de esta.

l Departamento de inform)tica es la parte medular de la empresa& es en donde los datos se

conierten en informacin Ltil a las diferentes )reas& es donde se guarda esta informacin y por

consecuencia& donde en la mayor!a de los casos se toman las decisiones importantes para laempresa.

Adem)s al realizar la presente auditoria nos damos cuenta 8ue dentro del am#iente empresarial es

de ital importancia contar con la informacin lo m)s aliosa 8ue sea& a tiempo& de forma oportuna&clara& precisa y con cero errores para 8ue se constituya en una 'erramienta poderosa para la toma de

decisiones& indose reflejada en la o#tencin de resultados #enficos a los fines de la organizacin

y justificar el e/istir de toda la organizacin o empresa.

?omo resultado de la Auditoria >nform)tica realizada a la Municipalidad Proincial de Mariscal

"ieto& por el per!odo comprendido entre el 7* de Setiem#re al -6 de Diciem#re del -771& podemos

manifestar 8ue 'emos cumplido con ealuar cada uno de los o#jetios contenidos en el programa de

auditoria.

l )rea de >nform)tica presenta deficiencias enF n

su Seguridad


45/73

n el )rea $!sica


46/73

n de Redes

@ en el de#ido cumplimiento de sus funciones.

Podremos estar tran8uilos y seguros 8ue nuestra funcin de auditores est) funcionando como sede#e& y sa#er 8ue cuando se siguen estos lineamientos se o#tendr)n sistemas 8ue no an a necesitar

mantenimiento e/cesio& 8ue el cmputo a a ser parte de la solucin y no parte del pro#lema&

como lo es 'oy en d!a.


47/73

In


48/73

Atenta5ente=

ORLA"DO JIMM MAMA"I OMAMIC@ELLA ARO@UA"CA A=NILL MAMA"I CUTIA CARME"UIPO"EQ MATA MADELEI"EMUPOQ ORTE!A "ELSSOCO@UA"CA TURO

A= Or1aniaci6n G Ad5inistraci6n del reaA== Co5it G lan In


49/73

cantidad de soluciones 7ue 8ueden i58le5entarse en tie58o G


50/73

0= Se1uridad F2sica L61ica0== Entorno !eneral

a= Situaci6n

Durante nuestra revisi6n %e5os observado lo si1uiente9

"o e.iste una vi1ilancia estricta del rea de In


51/73


b= E


52/73

Los usuarios de


53/73

res8onsables de cada siste5a= E


54/73

Al5acena5iento9 >? !0 de ( RM Cone.i6n9 Et%ernet (#((Es un e7ui8a5iento ideal 8ara las


55/73

A"E$OS


56/73

Encuesta

*. +l )rea cumple con las funciones asignadas en el MO$ de la >nstitucin,-. +?u)ntas personas la#oran en el centro de cmputo,

=a#oran 1 Personas.

0. +?onsidera 8ue el )rea de tra#ajo es la adecuada o apropiada para el desempe9o de sus la#ores,

1. +?onsidera 8ue es adecuado el nLmero de personas 8ue la#oran en el )rea,

2. +Se deja de realizar alguna actiidad por falta de personal,

3. +sta el personal 8ue utiliza el computador educado en las necesidades de seguridad,

4. ?on respecto a la parte f!sica de la O?>Y +se cumple con las normas de seguridad esta#lecidas

para los e8uipos de cmputo,

5. +sta el )rea del computador li#re de material com#usti#le& como suministro de papel en e/ceso

de las necesidades inmediatas,

6. +/iste en la O?> e/tinguidores de incendio claramente identificados para lo 8ue uso se refiere,

*7. So#re el mantenimiento del e8uipoY +cuenta con las 'erramientas necesarias para #rindar un

#uen sericio en el momento re8uerido,

**. +l )rea cuenta con un respectio plan de contingencias,

*-. Si cuenta con un plan de contingencias +Se 'an identificado las aplicaciones itales para

operacin del )rea,


57/73


58/73

CO"SEJOS

*. Utiliza un #uen antiirus y actual!zalo frecuentemente.-. ?omprue#a 8ue tu antiirus incluye soporte tcnico& resolucin urgente de nueos irus y

sericios de alerta.

0. AsegLrate de 8ue tu antiirus est siempre actio.

1. %erifica& antes de a#rir& cada nueo mensaje de correo electrnico reci#ido.

2. ita la descarga de programas de lugares no seguros en >nternet.

3. Rec'aza arc'ios 8ue no 'ayas solicitado cuando ests en c'ats o grupos de noticias Jne(sK

4. Analiza siempre con un #uen antiirus los dis8uetes 8ue ayas a usar en tu ordenador.

5. Retira los dis8uetes de las dis8ueteras al apagar o reiniciar tu ordenador.6. Analiza el contenido de los arc'ios comprimidos.

*7. Mantente alerta ante acciones sospec'osas de posi#les irus.

**. A9ade las opciones de seguridad de las aplicaciones 8ue usas normalmente a tu pol!tica de

proteccin antiirus.

*-. Realiza peridicamente copias de seguridad.

*0. Mantente informado.

*1. Utiliza siempre soft(are legal.

*2. /ige a los fa#ricantes de soft(are& proeedores de acceso a >nternet y editores de

pu#licaciones& 8ue se impli8uen en la luc'a contra los irus.


59/73

OLTICAS E" I"FORMTICA ROUESTA

TITULO I

DISOSICIO"ES !E"ERALES

ARB>?U=O *Z.E l presente ordenamiento tiene por o# jeto estandarizar y contri#uir al desarrollo

inform)tico de las diferentes unidades administratias de la mpresa "". ARB>?U=O -Z.E Para los

efectos de este instrumento se entender) porF

?omitF Al e8uipo integrado por la Direccin & Su#direccin& los Cefes departamentales y el

personal administratio de las diferentes unidades administratias JOcasionalmenteK conocado

para fines espec!ficos comoF

Ad8uisiciones de ard(are y soft(are

sta#lecimiento de est)ndares de la mpresa "" tanto de 'ard(are como de soft(are

sta#lecimiento de la Ar8uitectura tecnolgica de grupo.

sta#lecimiento de lineamientos para concursos de ofertas

Ad5inistraci6n de Innform)tica

Definir estrategias y o#jetios a corto& mediano y largo plazo

Mantener la Ar8uitectura tecnolgica

?ontrolar la calidad del sericio #rindado Mantener el >nentario actualizado de los recursos inform)ticos

%elar por el cumplimiento de las Pol!ticas y Procedimientos esta#lecidos.

ARB>?U=O 0Z.E Para los efectos de este documento& s e entiende por Pol!ticas en >nform)tica& al

conjunto de reglas o#ligatorias& 8ue de#en o#serar los Cefes de Sistemas


60/73

responsa#les del 'ard(are y soft(are e/istente en la mpresa ""& siendo responsa#ilidad de la

Administracin de >nform)tica& igilar su estricta o#serancia en el

)m#ito de su competencia& tomando las medidas preentias y correctias para 8ue se cumplan.

ARB>?U=O 1Z.E =as Pol!ticas en >nform)tica son el conjunto de ordenamientos y lineamientos

enmarcados en el )m#ito jur!dico y administratio de la mpresa "". stas normas inciden en la

ad8uisicin y el uso de los ienes y Sericios >nform)ticos en la mpresa ""& las cuales se de#er)n

de acatar inaria#lemente& por a8uellas instancias 8ue interengan directa yHo indirectamente en

ello.

ARB>?U=O 2Z.E =a instancia rectora de los sistemas de inform)tica de la mpresa "" es la

Administracin& y el organismo competente para la aplicacin de este ordenamiento& es el ?omit.

ARB>?U=O 3Z.E =as presentes Pol!ticas a8u! contenid as& son de o#serancia para la ad8uisicin y

uso de #ienes y sericios inform)ticos& en la mpresa ""& cuyo incumplimiento generar) 8ue se

incurra en responsa#ilidad administratiaY sujet)ndose a lo dispuesto en la seccin

Responsa#ilidades Administratias de Sistemas.

ARB>?U=O 4Z.E =as empresas de la mpresa "" de#er)n contar con un Cefe o responsa#le del

Area de Sistemas& en el 8ue recaiga la administracin de los ienes y Sericios& 8ue igilar) la

correcta aplicacin de los ordenamientos esta#lecidos por el ?omit y dem)s disposiciones

aplica#les.

TITULO II

LI"EAMIE"TOS ARA LA ADUISICIO" DE 0IE"ES DE I"FORMATICA

ARB>?U=O 5Z.E Boda ad8uisicin de tecnolog!a inform )tica se efectLa a tras del ?omit& 8ue

est) conformado por el personal de la Administracin de >nform)tica y ?U=O 6Z.E =a ad8uisicin de ienes de >nform)ti ca en la mpresa ""& 8uedar) sujeta a los

lineamientos esta#lecidos en este documento.


61/73


ARB>?U=O *7Z.E =a Administracin de >nform)tica& al planear las operaciones relatias a la

ad8uisicin de ienes inform)ticos& esta#lecer) prioridades y en su seleccin de#er) tomar en

cuentaF estudio tcnico& precio& calidad& e/periencia& desarrollo tecnolgico& est)ndares y capacidad&

entendindose porF

Precio.E ?osto inicial& costo de mantenimiento y consumi#les por el per!odo estimado de

uso de los e8uiposY

?alidad.E Par)metro cualitatio 8ue especifica las caracter!sticas tcnicas de los recursos

inform)ticos.

/periencia.E Presencia en el mercado nacional e internacional& estructura de sericio& la

confia#ilidad de los #ienes y certificados de calidad con los 8ue se cuenteY

Desarrollo Becnolgico.E Se de#er) analizar su grado de o#solescencia& su niel tecnolgico

con respecto a la oferta e/istente y su permanencia en el mercadoY

st)ndares.E Boda ad8uisicin se #asa en los est)ndares& es decir la ar8uitectura de grupo

empresarial esta#lecida por el ?omit. sta ar8uitectura tiene una permanencia m!nima de

dos a cinco a9os.

?apacidades.E Se de#er) analizar si satisface la demanda actual con un margen de 'olgura y

capacidad de crecimiento para soportar la carga de tra#ajo del )rea.

ARB>?U=O **Z.E Para la ad8uisicin de ard(are se o #serar) lo siguienteF

aK l e8uipo 8ue se desee ad8uirir de#er) estar dentro de las listas de entas igentes de los fa#ricantes

yHo distri#uidores del mismo y dentro de los est)ndares de la mpresa "".

#K De#er)n tener un a9o de garant!a como m!nimo

cK De#er)n ser e8uipos integrados de f)#rica o ensam#lados con componentes preiamente ealuados

por el ?omit.

dK =a marca de los e8uipos o componentes de#er) contar con presencia y permanencia demostrada enel mercado nacional e internacional& as! como con asistencia tcnica y refaccionaria local.

eK Brat)ndose de e8uipos microcomputadoras& a fin de mantener actualizado la ar8uitectura

inform)tico de la mpresa ""& el ?omit emitir) peridicamente las especificaciones tcnicas

m!nimas para su ad8uisicin.


62/73

fK =os dispositios de almacenamiento& as! como las interfaces de entradaHsalida& de#er)n estar acordes

con la tecnolog!a de punta igente& tanto en elocidad de transferencia de datos& como en el ciclo

del proceso.

gK =as impresoras de#er)n apegarse a los est)ndares de ard(are y Soft(are igentes en el mercado yla mpresa ""& corro#orando 8ue los suministros Jcintas& papel& etc.K se consigan f)cilmente en el

mercado y no estn sujetas a un solo proeedor.

'K ?onjuntamente con los e8uipos& se de#er) ad8uirir el e8uipo complementario adecuado para su

correcto funcionamiento de acuerdo con las especificaciones de los fa#ricantes& y 8ue esta

ad8uisicin se manifieste en el costo de la partida inicial.

iK=os e8uipos complementarios de#er)n tener una garant!a m!nima de un a9o y de#er)n contar con el

sericio tcnico correspondiente en el pa!s.jK=os e8uipos ad8uiridos de#en contar& de preferencia con asistencia tcnica durante la instalacin de

los mismos.

[K n lo 8ue se refiere a los computadores denominados seridores& e8uipo de comunicaciones como

enrutadores y concentradores de medios& y otros 8ue se justifi8uen por ser de operacin cr!tica yHo

de alto costoY al encer su per!odo de garant!a& de#en de contar con un programa de mantenimiento

preentio y correctio 8ue incluya el suministro de refacciones.

lKn lo 8ue se refiere a los computadores denominados personales& al encer su garant!a por

ad8uisicin& de#en de contar por lo menos con un programa de sericio de mantenimientocorrectio 8ue incluya el suministro de refacciones.

Bodo proyecto de ad8uisicin de #ienes de inform)tica& de#e sujetarse al an)lisis& apro#acin y

autorizacin del ?omit.

ARB>?U=O *-ZF n la ad8uisicin de 8uipo de cmput o se de#er) incluir el Soft(are igente

precargado con su licencia correspondiente considerando las disposiciones del art!culo siguiente.

ARB>?U=O *0Z.E Para la ad8uisicin de Soft(are #ase y utilitarios& el ?omit dar) a conocer

peridicamente las tendencias con tecnolog!a de punta igente& siendo la lista de productos

autorizados la siguienteF

a. Plataformas de Sistemas OperatiosF


63/73

MSEDOS& MSE Tindo(s 62 spa9ol& Tindo(s "B& "oell "et(are& Uni/JAutomotrizK.

#. ases de DatosF

$o/pro& >nformi/

c. Manejadores de #ases de datosF

$o/pro para DOS& %isual$o/& Access

d. =enguajes de programacinF

=os lenguajes de programacin 8ue se utilicen de#en ser compati#les con las plataformas enlistadas.

SI= Tindo(s

%isual asic%isual$o/

?enturaTe#

"otes Designer

e. ojas de c)lculoF

/cel

f. Procesadores de pala#rasF

Tord

g. Dise9o


64/73

n la generalidad de los casos& slo se ad8uirir)n las Lltimas ersiones li#eradas de los productos

seleccionados& salo situaciones espec!ficas 8ue se de#er)n justificar ante el ?omit. Bodos los

productos de Soft(are 8ue se ad8uieran de#er)n contar con su licencia de uso& documentacin y

garant!a respectias.

ARB>?U=O *1Z.E Bodos los productos de Soft(are 8ue se utilicen a partir de la fec'a en 8ue entre

en igor el presente ordenamiento& de#er)n contar con su licencia de uso respectiaY por lo 8ue se

promoer) la regularizacin o eliminacin de los productos ya instalados 8ue no cuenten con la

licencia respectia.

ARB>?U=O *2Z.E Para la operacin del soft(are de re d se de#e tener en consideracin lo siguienteF

aKBoda la informacin institucional de#e inaria#lemente ser operada a tras de un mismo tipo de

sistema manejador de #ase de datos para #eneficiarse de los mecanismos de integridad& seguridad y

recuperacin de informacin en caso de falla del sistema de cmputo.

#Kl acceso a los sistemas de informacin& de#e contar con los priilegios nieles de seguridad de

acceso suficientes para garantizar la seguridad total de la informacin institucional. =os nieles de

seguridad de acceso de#er)n controlarse por un administrador Lnico y poder ser manipulado por

soft(are. Se de#en delimitar las responsa#ilidades en cuanto a 8uin est) autorizado a consultar yHo

modificar en cada caso la informacin& tomando las medidas de seguridad pertinentes para cada

caso.

cKl titular de la unidad administratia responsa#le del sistema de informacin de#e autorizar y

solicitar la asignacin de clae de acceso al titular de la Unidad de >nform)tica.

dK=os datos de los sistemas de informacin& de#en ser respaldados de acuerdo a la frecuencia de

actualizacin de sus datos& rotando los dispositios de respaldo y guardando respaldos 'istricos

peridicamente. s indispensa#le llear una #it)cora oficial de los respaldos realizados& asimismo&

las cintas de respaldo de#er)n guardarse en un lugar de acceso restringido con condiciones

am#ientales suficientes para garantizar su conseracin. Detalle e/plicatio se aprecia en la Pol!tica

de respaldos en igencia.

eKn cuanto a la informacin de los e8uipos de cmputo personales& la Unidad de >nform)tica

recomienda a los usuarios 8ue realicen sus propios respaldos en la red o en medios de

almacenamiento alternos.


65/73

fK Bodos los sistemas de informacin 8ue se tengan en operacin& de#en contar con sus respectios

manuales actualizados. Uno tcnico 8ue descri#a la estructura interna del sistema as! como los

programas&

cat)logos y arc'ios 8ue lo conforman y otro 8ue descri#a a los usuarios del sistema& los

procedimientos para su utilizacin.

'K =os sistemas de informacin& de#en contemplar el registro 'istrico de las transacciones so#re

datos releantes& as! como la clae del usuario y fec'a en 8ue se realiz J"ormas )sicas de

Auditor!a y ?ontrolK.

i KSe de#en implantar rutinas peridicas de auditor!a a la integridad de los datos y de los programas

de cmputo& para garantizar su confia#ilidad.

ARB>?U=O *3Z.E Para la contratacin del sericio de desarrollo o construccin de Soft(are

aplicatio se o#serar) lo siguienteF

Bodo proyecto de contratacin de desarrollo o construccin de soft(are re8uiere de un estudio de

facti#ilidad 8ue permita esta#lecer la renta#ilidad del proyecto as! como los #eneficios 8ue se

o#tendr)n del mismo.

Bodo proyecto de#er) ser apro#ado por el ?omit en #ase a un informe tcnico 8ue contenga lo

siguienteF

ases del concurso JRe8uerimientos claramente especificadosK

An)lisis de ofertas JBres oferentes como m!nimoK y Seleccin de oferta ganadora

0ases del Concurso

=as #ases del concurso especifican claramente los o#jetios del tra#ajo& delimita las

responsa#ilidades de la empresa oferente y la contratante.

De las e58resas odentidad del o los representantes de la compa9!a

#. ?opia de los nom#ramientos actualizados de los representantes legales de la compa9!a

c. ?opia de los statutos de la empresa& en 8ue aparezca claramente definido el o#jeto de la

compa9!a& esto es para determinar si est) o no facultada para realizar la o#ra

d. ?opia del RU? de la compa9!a


66/73

e. Referencias de clientes JM!nimo 0K

f. =a carta con la oferta definitia del contratista de#e estar firmada por el representante legal

de la compa9!a oferente.

De la contratante

=as responsa#ilidades de la contratante sonF

a. Delinear adecuadamente los o#jetios y alcance del aplicatio.

#. sta#lecer los re8uerimientos del aplicatio

c. Definir responsa#ilidades de la contratista y contratante

d. sta#lecer campos de accin

An4lisis de o


67/73

a. Una garant!a #ancaria o una pliza de seguros& incondicional& irreoca#le y de co#ro

inmediato por el 2: del monto total del contrato para asegurar su fiel cumplimiento& la cual

se mantendr) igente durante todo el tiempo 8ue su#sista la o#ligacin motio de la

garant!a.

#. Una garant!a #ancaria o una pliza de seguros& incondicional& irreoca#le y de co#ro

inmediato e8uialente al *77 : Jciento por cientoK del anticipo. sta garant!a se deoler)

en su integridad una ez 8ue el anticipo se 'aya amortizado en la forma de pago estipulada

en el contrato.

c. Un fondo de garant!a 8ue ser) retenido de cada planilla en un porcentaje del 2 :. Cunto al

contrato se de#er) mantener la 'istoria respectia del mismo 8ue se compone de la siguiente

documentacin soporteF studio de facti#ilidad

ases del concurso

Ofertas presentadas

Acta de aceptacin de oferta firmada por los integrantes del ?omit

>nformes de fiscalizacin

Acta de entrega proisional y definitia

TITULO III

I"STALACIO"ES

ARB>?U=O *4Z.E =a instalacin del e8uipo de cmputo & 8uedar) sujeta a los siguientes

lineamientosF

aK=os e8uipos para uso interno se instalar)n en lugares adecuados& lejos de polo y tr)fico de personas.

n las )reas de atencin directa al pL#lico los e8uipos se instalar)n en lugares adecuados.

#K =a Administracin de >nform)tica& as! como las )reas operatias de#er)n contar con un cro8uis

actualizado de las instalaciones elctricas y de comunicaciones del e8uipo de cmputo en red.


68/73

cK=as instalaciones elctricas y de comunicaciones& estar)n de preferencia fijas o en su defecto

resguardadas del paso de personas o m)8uinas& y li#res de cual8uier interferencia elctrica o

magntica.

dK =as instalaciones se apegar)n estrictamente a los re8uerimientos de los e8uipos& cuidando lasespecificaciones del ca#leado y de los circuitos de proteccin necesariosY

eK n ningLn caso se permitir)n instalaciones improisadas o so#recargadas.

fK?uando en la instalacin se alimenten eleadores& motores y ma8uinaria pesada& se de#er) tener un

circuito independiente& e/clusio para el e8uipo yHo red de cmputo.

ARB>?U=O *5Z.E =a superisin y control de las inst alaciones se llear) a ca#o en los plazos y

mediante los mecanismos 8ue esta#lezca el ?omit.

TITULO I+

LI"EAMIE"TOS E"

I"FORMATICA CAITULO I

I"FORMACIO"

ARB>?U=O *6Z.E =os arc'ios magnticos de informaci n se de#er)n inentariar& ane/ando la

descripcin y las especificaciones de los mismos& clasificando la informacin en tres categor!asF

*. >nformacin 'istrica para auditor!as

-. >nformacin de inters de la mpresa ""

0. >nformacin de inters e/clusio de algLn )rea en particular.

ARB>?U=O -7Z.E =os jefes de sistemas responsa#les d el e8uipo de cmputo y de la informacin

contenida en los centros de cmputo a su cargo& delimitar)n las responsa#ilidades de sus

su#ordinados y determinar)n 8uien est) autorizado a efectuar operaciones emergentes con dic'a

informacin tomando las medidas de seguridad pertinentes.

ARB>?U=O -*Z.E Se esta#lecen tres tipos de priorida d para la informacinF

*. >nformacin ital para el funcionamiento de la unidad administratiaY

-. >nformacin necesaria& pero no indispensa#le en la unidad administratiaY

0. >nformacin ocasional o eentual.


69/73

ARB>?U=O --Z.E n caso de informacin ital para el funcionamiento de la unidad administratia&

se de#er)n tener procesos concomitantes& as! como tener el respaldo diario de las modificaciones

efectuadas& rotando los dispositios de respaldo y guardando respaldos 'istricos semanalmente.

ARB>?U=O -0Z.E =a informacin necesaria pero no ind ispensa#le& de#er) ser respaldada con unafrecuencia m!nima de una semana& rotando los dispositios de respaldo y guardando respaldos

'istricos mensualmente.

ARB>?U=O -1Z.E l respaldo de la informacin ocasio nal o eentual 8ueda a criterio de la unidad

administratia.

ARB>?U=O -2Z.E =os arc'ios magnticos de informaci n& de car)cter 'istrico 8uedar)n

documentados como actios de la unidad acadmica y estar)n de#idamente resguardados en su

lugar de almacenamiento.

s o#ligacin del responsa#le del e8uipo de cmputo& la entrega coneniente de los arc'iosmagnticos de informacin& a 8uien le suceda en el cargo.

ARB>?U=O -3Z.E =os sistemas de informacin en opera cin& como los 8ue se desarrollen de#er)n

contar con sus respectios manuales. Un manual del usuario 8ue descri#a los procedimientos de

operacin y el manual tcnico 8ue descri#a su estructura interna& programas& cat)logos y arc'ios.

CAITULO II

FU"CIO"AMIE"T

O

ARB>?U=O -4Z.E s o#ligacin de la Administracin d e >nform)tica igilar 8ue el e8uipo de

cmputo se use #ajo las condiciones especificadas por el proeedor y de acuerdo a las funciones del

)rea a la 8ue se asigne.

ARB>?U=O -5Z.E =os cola#oradores de la empresa al u sar el e8uipo de cmputo& se a#stendr)n de

consumir alimentos& fumar o realizar actos 8ue perjudi8uen el funcionamiento del mismo o

deterioren la informacin almacenada en medios magnticos& pticos& etc.

ARB>?U=O -6Z.E Por seguridad de los recursos inform )ticos se de#en esta#lecer seguridadesF

$!sicas


70/73

Sistema Operatio

Soft(are

?omunicaciones

ase de Datos Proceso

Aplicaciones

Por ello se esta#lecen los siguientes lineamientosF

Mantener claes de acceso 8ue permitan el uso solamente al personal autorizado para ello.

%erificar la informacin 8ue proenga de fuentes e/ternas a fin de corro#orar 8ue estn

li#res de cual8uier agente e/terno 8ue pueda contaminarla o perjudi8ue el funcionamiento

de los e8uipos.

Mantener plizas de seguros de los recursos inform)ticos en funcionamiento

ARB>?U=O 07Z.E n ningLn caso se autorizar) la util izacin de dispositios ajenos a los procesos

inform)ticos de la unidad administratia.

Por consiguiente& se pro'i#e el ingreso yHo instalacin de 'ard(are y soft(are particular& es decir

8ue no sea propiedad de una unidad administratia de la mpresa ""& e/cepto en casos emergentes

8ue la Direccin autorice.

CAITULO III

LA" DE CO"TI"!E"CIAS

ARB>?U=O 0*Z.E =a Administracin de >nform)tica cre ar) para las empresas y departamentos un

plan de contingencias inform)ticas 8ue incluya al menos los siguientes puntosF

aK ?ontinuar con la operacin de la unidad administratia con procedimientos inform)ticos alternosY

#K Bener los respaldos de informacin en un lugar seguro& fuera del lugar en el 8ue se encuentran los

e8uipos.cK Bener el apoyo por medios magnticos o en forma documental& de las operaciones necesarias para

reconstruir los arc'ios da9adosY


71/73


dK ?ontar con un instructio de operacin para la deteccin de posi#les fallas& para 8ue toda accin

correctia se efectLe con la m!nima degradacin posi#le de los datosY

eK ?ontar con un directorio del personal interno y del personal e/terno de soporte& al cual se pueda

recurrir en el momento en 8ue se detecte cual8uier anomal!aYfK jecutar prue#as de la funcionalidad del plan

fK Mantener reisiones del plan a fin de efectuar las actualizantes respectias

CAITULO I+

ESTRATE!IAS

ARB>?U=O 0-.E =a estrategia inform)tica de la DDB se consolida en el Plan Maestro de

>nform)tica y est) orientada 'acia los siguientes puntosF

aK Plataforma de Sistemas A#iertosY

#K Descentralizacin del proceso de informacin

cK s8uemas de operacin #ajo el concepto clienteHseridor

dK standarizacin de 'ard(are& soft(are #ase& utilitarios y estructuras de datos

eK >ntercomunicacin entre unidades y e8uipos mediante protocolos est)ndares

fK >ntercam#io de e/periencias entre Departamentos de >nform)tica.

gK Manejo de proyectos conjuntos con las diferentes unidades administratias.

'K Programa de capacitacin permanente para los cola#oradores de la empresa del )rea de inform)tica

iK>ntegracin de sistemas y #ases de datos de la mpresa ""& para tener como meta final un Sistema

>ntegral de >nformacin ?orporatio.

jKProgramacin con ayudas isuales e interactias. $acilitando interfases amiga#les al usuario final.

[K >ntegracin de sistemas teleinform)ticos J>ntranet De grupo empresarialK.

ARB>?U=O 00Z.E Para la ela#oracin de los proyectos inform)ticos y para la presupuestacin de los

mismos& se tomar)n en cuentan tanto las necesidades de 'ard(are y soft(are de la unidad

administratia solicitante& como la disponi#ilidad de recursos con 8ue stas cuenten.


72/73

DISOSICIO"ES TRA"SITORIAS

ARB>?U=O PR>MRO.E =as disposiciones a8u! enmarcadas& entrar)n en igor a partir del d!a

siguiente de su difusin.

ARB>?U=O S


73/73

0iblio1raBOR>A >"$ORMAB>?A. Un enfo8ue pr)ctico

Mario Piatini N milio del Peso d. Rama

AUD>BOR>A D =OS S>SBMAS D >"$ORMA?>\" Rafael

ernal y \scar ?oltell N Uni. Politcnica de %alencia
http://www.audinet.org/http://www.sans.org/http://www.sans.org/http://www.audinet.org/

Auditoria Informatica-municipalidad Moquegua (1)

Documents

Transcript of Auditoria Informatica-municipalidad Moquegua (1)